紅隊之信息收集

企業信息收集

拿到一個目標，不考慮釣魚的情況下。如果正常從web入手，至少需要收集以下的信息。
一：公司級別
（1）公司的域名
（2）公司的子域名
（3）全資子公司（可能從下級單位打上去，但是光打了下級算不算分得看裁判和規則怎么評估）
（4）公司的ip信息（大公司可以直接跑C段）
一般經過上面的收集以后，我們能夠獲取到一系列的ip，域名信息。此時需要針對這些進行排除
（比如說云上的資產等或者存在cdn的資產，cdn需要尋找真實ip繞過云waf，云上很可能觸發告警要
小心一點）。
二：ip級別
當我們拿到了一系列的ip和域名以后，對于已經確定的ip，需要進行至少一下的信息收集
（1）ip是否為真實ip
（2）ip開啟了哪些端口，可能存在哪些漏洞（外網redis有時候看到的多，但是真實情況下碰到的
確實不多，很多時候其實都是web和釣魚撕開口子的）
（3）對于web，至少需要收集框架，路徑，登錄接口，js中的敏感信息，網站中間件，服務器操
作系統等。大多數時候其實都是文件上傳，直接rce或者尋找到了敏感信息等拿下來的，對于之前
碰到過一次有個隊伍打供應鏈下載源碼審計的這種屬于非常態暫不討論。
三：用戶級別
（1）用戶級別主要是涉及拿到一些用戶的用戶名等。便于進行暴力破解。這種說的少點因為太多
了，github，google語法，官網，看官網郵箱格式，根據公司名字猜，還有公告里泄露人名，以及
一些通用的如公司首字母+數字等。
下面對一些收集的方法進行具體的說明。

公司級別

獲取目標域名

（1）直接百度公司，看看有無官網，官網一般是主域名
（2）查看天眼查，企查查，域名備案等獲取主域名
（3）利用whois查詢，whois反查獲取域名相關信息
（4）利用app查詢公司的域名。
（5）利用股權穿刺圖查看公司的子公司域名
http://whois.chinaz.com/ //whois查詢
https://beian.miit.gov.cn/ // 域名備案查詢
https://www.qcc.com/ //企查查
https://www.qixin.com/ //啟信寶
http://icp.chinaz.com/ //站長工具
https://www.tianyancha.com/ //天眼查
https://aiqicha.baidu.com/ //愛企查
說一個小的tips，這里沒有提到搜索引擎，可以再fofa或者zoomeye shodan上面查
一下公司名字，因為更新的原因可能有些時候域名等無法訪問以及更換了，但是ip段
還在，如果找到了ip，也能跑一下C段，說不定可以拿到主域名，拿到主域名的原因
是在于跑一下子域名。

當我們拿到域名以后。先不要急著跑子域名。可以看一下ip的信息。這個其實很好說，全球ping一下
看看有無cdn，搜索一下ip看看是否屬于某某云。
http://ping.chinaz.com/www.zswater.com //全球ping
https://wepcc.com/ //全球ping

獲取目標子域名

拿到了主域名，子域名肯定是必不可少要跑的。上面叫先拿ip，是因為我們可以結合真實ip的C段，
更精確的判斷出域名的相關信息，盡可能少的漏掉。這里我比較喜歡用下面的幾個工具
https://github.com/shmilylty/OneForAll //比較自動化，收集的比較全，使用方便
https://github.com/knownsec/ksubdomain  //自動化，收集比較全
https://github.com/0x727/ShuiZe_0x727 //使用方便，自動化，集成工具
有機會的話對于app等也抓一下域名信息。對于一些自定義字典爆破的特殊情況就不說了，這里只
說常用的。

獲取目標ip

收集到現在，不出意外我們手上應該是有一堆域名信息了。一個個判斷略顯麻煩，這里已經有師傅
為我們做好了域名轉化為ip的工具，同時能夠將C段整理出來。https://github.com/EdgeSecurityTeam/Eeyes
都到了這里了，可以嘗試掃描一下c段，因為有ehole能夠直接整理出重點資產，比較方便。推薦的
掃描工具https://github.com/shadow1ng/fscan //內網可用，外網也可以用
https://github.com/Adminisme/ServerScan 
https://github.com/EdgeSecurityTeam/EHole 
這里可能會存在一些cdn，需要真實ip的可能。一般我比較常用的是找子域名和icon，以及ssl證書
等，歷史記錄感覺碰到的不多，還不如fofa大法去搜搜。或者是直接子域名再掃個C段等等。這個
方法很多我就不獻丑了。

獲取目標web信息

上兩步，我們基本是拿到了目標的ip段，域名，現在就要嘗試對網站進行判斷了。推薦先用
ehole走一下識別出重點資產。然后再判斷。
https://github.com/broken5/WebAliveScan //web存活判斷
（1）收集web的框架信息，一般我采用下面幾種手法
《一》識別網址框架:
https://scan.dyboy.cn/web/
https://fp.shuziguanxing.com/#/
火狐插件
wappalyzer
其他
利用web的js里面可能會泄露web框架的相關信息，或者根據網站的圖標，錯誤頁面，下方的開發
公司等去確定網站可能采用了什么框架。《二》路徑收集
https://github.com/maurosoria/dirsearch //dirsearch
dirbuster                               //kali自帶
burp爆破自定義的字典                            //需要平時收集或者再github上找字典
（主要還是可能有些網站他有自己的路徑格式，工具不一定能跑出來）《三》敏感信息收集
js中的敏感文件 
JSfinder：https://github.com/Threezh1/JSFinder
查看開發者工具中js，然后對于一些js文件搜索password username等關鍵字
（這需要直接，有可能會js泄露一些用戶名，這是工具跑不出來的）網站內容的敏感數據
這種對有些ZF很有用。經常會碰到郵箱賬號密碼都寫在主頁里的。所以對于一些文章啊，可以瀏覽
一些。說不定也能看到一些收購計劃之類的，擴大我們的攻擊面。路多了總有一條能走通。這里
沒用吧端口說出來，因為我們前面已經收集了。一些中間件一類的是順帶就可以看的，操作系統類
的也是能拿了shell才考慮的事情。當然一些shiro等還是要熟悉，這是HW的大殺器。
《四》后臺收集
這里專門把后臺收集提出來，是因為后臺并不是說路徑掃完了沒了就沒有了。有可能字典不包含。
碰到這種情況，可以嘗試以下方法。（1）可以去搜一下有沒有相同的框架說明文檔看看后臺地址。
（2）根據他網站文件的命名格式去看一下有沒有可能重名。
（3）在網頁上看看有沒有暴露出后臺的接口
（4）在js中搜一下admin,system等關鍵字看看能不能拼接處后臺地址。
（5）根據url地址，直接把user改為admin等等。

當到了這一步的時候，我們基本上對于我們的目標打點以及資產還是不少了。對了還有APP的沒說，
APP滲透我做的不多，所以這里就找了幾個搜索APP信息的工具https://github.com/kelvinBen/AppInfoScanner app敏感信息收集
百度一下網盤查詢，找幾個進去看看（可以看看是否泄露了源碼，但是實際很少碰到過這種情況，
適用于想直接getshell失敗的情況下。）

對于可能需要爆破的，用戶名的收集，這一塊我一般都是字典直接爆破的。要收集的話我的思路
是以下，如果有補充和修正歡迎指點一下：
（1）再網頁上直接找用戶名（因為一般都有郵箱之類的，這里你能拿到用戶名，根據公司名稱或
者數字生成相應的字典）（2）利用google語法，搜索xlsx等，或者直接搜這個公司相關的，可能會出現用戶名
（3）github上找一下這個公司看看有沒有啥泄露的
（4）招聘網站上看看，面試官之類的可能會泄露電話號碼，用戶名，根據電話號碼查用戶名
（5）搜索公司的架構圖，如果有領導的記下來
（6）利用公眾號，微博等社交軟件搜索公司的信息。
（7）百度圖片（這個看運氣了，有時候網頁搜出來太多了，直接看看百度圖片，有可能出現用戶名
篩選起來也很快，是我在之前某次攻防中需要找到一個編號的時候想到了，但是編號打碼太模糊了
看不清楚）（8）找一下常用用戶名的字典進行收集。
大概就想到這么多吧，其他的再實戰中碰到了再說。常規的思路其實已經夠用了，比較騷的思路都
是走投無路的時候抓破頭顱整出來的，所以不管碰到什么情況，多動動小腦筋。信息收集多做一點，實在不行曲線救國打打供應鏈能脫下來源碼也不錯（但是這種比較適用于地方ZF用的小供應商的代碼，比較大的要你那么短時間審計出來難度也太大了。）